Anthropic は Claude Mythos というサイバーセキュリティ特化モデルを開発し、11の組織からなるコンソーシアムに限定的にアクセスを提供していました。同社は、Mythos が「ソフトウェアバグの発見、独立した動作可能なエクスプロイトの構築、企業ネットワーク全体の支配」を可能とする特別な能力を持つと主張していました。

しかし、新しい研究により、この限定公開戦略の根拠が大きく揺らいでいます。

小規模オープンモデルで再現可能な能力

複数の独立した研究機関による調査では、公開されている小規模で部分的にオープンなモデルでも、Mythos と同等のサイバーセキュリティ分析能力があることが明らかになりました。

AISLE という研究機関は、OpenSSL で 15 件、curl で 5 件の脆弱性を報告し、8つのモデルすべてが FreeBSD バグを検出できることを確認。Vidoc Security も GPT-5.4 と Claude Opus 4.6 を使用し、同等の結果を示すことに成功しています。

「多くの目」の方が脆弱性を見つける

研究者たちは、「一人の優れた探偵が推測で探すより、千人の適切な探偵がどこでも探した方がバグを見つけられる」という視点を提示しています。つまり、Anthropic の限定公開モデルより、複数の小規模オープンモデルの協働の方が、より多くの脆弱性を検出できる可能性があるということです。

この研究は、Anthropic の「Mythos は他の公開モデルを圧倒する能力を持つ」という主張に直接的な疑問を呈しており、サイバーセキュリティ分野における限定公開AI戦略の妥当性を問い直す重要な指摘となっています。